Afin d’aider à protéger les journalistes contre les logiciels espions installés sur leurs appareils, Reporters sans frontières (RSF) offre aux journalistes un service gratuit, disponible dans plusieurs villes du monde, qui permet de vérifier si leurs appareils présentent des signes de compromission à l’aide de l’outil open source SpyGuard.
L’utilisation de logiciels espions contre les journalistes est en forte augmentation, notamment pour ceux qui enquêtent sur des régimes autoritaires. Bien que des outils de sécurité numérique tels que DangerZone puissent aider à réduire le risque lié à l’ouverture de fichiers malveillants, des logiciels espions peuvent être installés à distance ou hors ligne. Cela constitue un danger particulier lorsque les appareils d’un journaliste sont saisis par les forces de l’ordre. Les attaques numériques passent souvent inaperçues ; il est donc essentiel que les journalistes vérifient régulièrement si leurs appareils ont été compromis.
Des contrôles de sécurité gratuits dans le monde entier
Ce service est proposé gratuitement au siège de RSF à Paris, mais aussi dans plusieurs bureaux régionaux, notamment à Taipei, Tunis et Dakar. Rio de Janeiro et Washington D.C. offriront prochainement ce service. Le Centre pour la liberté de la presse de Beyrouth dispose également de ces équipements et propose des vérifications gratuites. La section allemande de RSF à Berlin propose un service supplémentaire de détection de logiciels espions utilisant un autre outil.
Toutes les demandes d’analyse d’appareils doivent être adressées au Service Assistance de RSF, joignable à l’adresse assistance(at)rsf.org.
Comment fonctionne SpyGuard
SpyGuard recherche des signes de logiciels espions. En analysant le trafic Internet entrant et sortant d’un appareil – de la même manière qu’un fournisseur d’accès à Internet (FAI) – SpyGuard peut détecter des connexions suspectes et identifier des indicateurs potentiels de compromission (IOC) ainsi que d’autres anomalies réseau.
L’analyse dure au moins dix minutes. Tout trafic Internet suspect détecté pendant ce laps de temps est signalé comme un indicateur potentiel de compromission. Dix minutes suffisent pour obtenir une “photo” représentative du trafic Internet de l’appareil.
Aucune donnée personnelle n’est collectée, à l’exception des points d’accès Wi-Fi auxquels l’appareil était connecté. La station SpyGuard ne capture que le trafic réseau – comme le ferait un FAI – et n’installe aucun logiciel sur l’appareil.
Comment interpréter les résultats
- 🟢 Vert : aucun indicateur évident de compromission détecté. Cela ne garantit toutefois pas à 100 % que l’appareil est exempt de logiciels malveillants ; les logiciels espions très sophistiqués peuvent se dissimuler dans un trafic réseau légitime.
- 🟠 Orange : indicateur modéré de compromission détecté. Dans ce cas, certains éléments – comme des adresses IP utilisant des protocoles suspects – nécessitent une analyse approfondie pour lever les doutes. Le rapport produit peut être transmis aux experts cyber de RSF ou au Digital Security Lab (DSL) de RSF pour une enquête complémentaire afin de confirmer une activité suspecte ou d’écarter un faux positif.
- 🔴 Rouge : indicateur critique de compromission détecté. L’appareil est probablement compromis. Il est recommandé aux journalistes de contacter immédiatement les experts cyber de RSF ou le DSL pour une enquête, et de cesser d’utiliser l’appareil. Le journaliste doit savoir que l’analyse forensique du DSL sera plus approfondie et pourra inclure l’examen des données et sauvegardes, avec le consentement du journaliste.
Limites de SpyGuard
- SpyGuard ne peut détecter que les logiciels malveillants (malwares) actifs pendant l’analyse, sur la base d’une collecte d’indicateurs de compromission.
- Il ne peut pas détecter si les comptes en ligne d’un journaliste (courriel, réseaux sociaux, etc.) ont été compromis.
SpyGuard est un outil de détection, pas de suppression : il ne peut pas éliminer un logiciel espion détecté. Les journalistes doivent envisager une analyse forensique plus poussée et un accompagnement spécialisé pour une évaluation et une solution avancées.